【特長】 SaaSアカウント管理

クラウドID管理サービス「Keyspider」の「【特長】SaaSアカウント管理」について紹介します。

IDライフサイクル管理が必要な理由

【背景】クラウドサービス契約の増加

【特長】SaaSアカウント管理

テレワークの増加という状況もあり、各企業はクラウドサービス契約が増加している現状があります。

この1年で「10以上のサービス」を新たに契約して業務に使用しているケースも多々あります。

クラウドサービスの主な例

・Microsoft 365
・Google Workspace
・Salesforce
・Box
・Slack
・Zoom
・勤怠管理サービス
・交通費精算サービス など

【課題】IDライフサイクル管理作業の増大

【特長】SaaSアカウント管理

クラウドサービス契約の増加により、ID管理作業は増大しています。

アカウント登録作業量=「ユーザー数×クラウドサービス数」

「すべてのユーザーがすべてのクラウドサービスを利用する」というシンプルなケースでは、
「新規アカウント登録数×クラウドサービス数」のアカウント登録作業量が発生することになります。

例えば、新入社員対応として、
「新規アカウント登録数(300名)×クラウドサービス数(20)」という場合では、
「6000件のアカウント登録作業」が必要となるため、
手作業登録では非常に困難となります。

膨大な権限修正作業

4月や10月の人事異動(組織改編)においては、
膨大な数の権限修正作業が発生します。

【課題】情報漏洩リスク

情報漏洩インシデントにおいては、「退職者IDからの情報漏洩」が原因トップとなっているデータもあります。

設定漏れがあるとセキュリティホールになってしまうため、
権限削除対象者(退職者)のアカウントについては、迅速に漏れなくクローズしておく必要があります。

監査で指摘される事項にもなるため、適切なID管理は非常に重要となります。

【必要】IDライフサイクル管理の自動化

ID管理システムは、「煩雑でありながら設定ミスがあってはならないIDライフサイクル管理」を自動化するためのツールです。

企業には、ID管理システム導入による「適切なIDライフサイクル管理の実施」が求められています。

「J-SOX法」対応の必要性

【特長】SaaSアカウント管理

「J-SOX」とは

J-SOXとは「内部統制報告制度」であり、「財務報告に係る内部統制に関する報告制度」を指します。

企業における内部統制とは「さまざまな業務が適正に実施され、組織が適切にコントロールされているかどうかをチェックすること」を指します。

日本企業は内部統制のためにJ-SOXに対応することが必要とされています。

→keyspider.co.jp →『【クラウドID管理解説】ID管理のリスクと課題「 J-SOX 」』

ID管理は「J-SOX法による監査対象」

J-SOX法において「すべてのIDが適切に管理されているのか?」が監査対象となります。

J-SOX法の対象となるのは「上場企業及びそのグループ会社」とされていますが、
取引先企業に対しても同様の基準を求めるケースもあるため、幅広い領域にJ-SOX法対応が必要となることもあります。

J-SOX法監査のポイント

①必要な処理が「プロセス化されている」か?

IDの「登録」「削除」「権限変更」などのイベントが発生した時の処理について、
手順書(システム)にプロセスとして定義されている必要があります。

②すべての手続きについて「責任が明確になっている」か?

すべての手続きに対して管理者を設定し、管理責任を明確にする必要があります。

③手続き通りに「運用されている」か?

「すべての処理が手続き通りに運用されている」ことをエビデンスとして保管する必要があります。

【必要】IDライフサイクル管理の自動化

J-SOX法に対して、手作業での対応は非常に難しいため、
ID管理システム導入による「IDライフサイクル管理の自動化」が必要です。

Keyspiderを活用した「ID管理業務自動化」

Keyspiderの基本的な仕組み

Keyspiderは、次の3つの機能で動作します。

①「源泉システム」からユーザーデータを吸い上げる
②「Keyspider」でIDの一元管理を実施
③「連携先システム」に対して同期

スライド説明

【特長】SaaSアカウント管理

(スライド左側)源泉システム

「源泉システム」とは「ユーザーデータが保管されているデータソース」を指します。
・人事システム
・(オンプレ)Active Directory
・(クラウド)AzureAD など

※Keyspiderは「複数の源泉システム」からユーザーデータをインプットできます。

(スライド中央)ID管理システム「Keyspider」

Keyspiderは「源泉システムから吸い上げたユーザーデータ」について、一元管理します。

※Keyspider上での新規アカウント登録なども可能です。

(スライド右側)連携先システム

Keyspiderで管理されている「ID情報」や「権限情報」などについて、連携先システムに同期します。
・各種SaaS :「Microsoft 365」「Salesforce」 など
・国産SaaS :「奉行シリーズ」 など
・社内システム など

同期対象データ

Keyspiderから連携先システムに対して「連携先システムが必要とする情報」を同期します。
・ユーザー情報
・権限情報
・組織情報
・グループ情報
・ライセンス情報 など

最小権限の原則

「最小権限の原則」とは、
「必要なユーザーに対して、必要な分だけアカウントを登録し、必要な分だけ権限を付与する」というセキュリティ指針です。

「最小権限の原則」の実施により、「不要なライセンスコスト削減」や「セキュリティ向上」につながります。

ID棚卸し

「ID棚卸し」とは「ライセンス数の差異を確認」するための作業です。

Keyspiderで管理している「Microsoft 365」のライセンス数が「100」であるのに、
「Microsoft 365」に「110」のユーザーが登録されている場合は、
ライセンス数において「10の差異」が発生していることになります。

Keyspiderの特徴

クラウドID管理サービス「Keyspider」は、次の3つの特徴により、
「効率的に」「抜け漏れなく」「タイムリー」なIDライフサイクル管理を実施できます。

特徴1⃣ ほぼどのようなシステムでも自動連携可能

「SCIM」とは

「SCIM」(System for Cross-domain Identity Management)とは、
「複数のドメイン間でユーザーID情報のやり取りを自動化するための規格」です。

主要SaaSはSCIMに対応しているため、自動連携が可能です。

しかし、「社内システム」や「国産SaaS」などの「SCIM非対応システム」は、数多く存在しています。

Keyspiderは「SCIM非対応システム」との自動連携が可能

Keyspiderは、「SCIM非対応」「API非対応」などのシステムでも、自動連携できる仕組みを実装しています。

「ほぼどのようなシステムであっても自動連携可能」という点は、Keyspiderの大きな特徴となっています。

特徴2⃣ 自動権限付与機能

1アカウントごとに認可設定を実施するのは、膨大な作業量となってしまいます。

Keyspiderの「自動権限付与機能」

Keyspiderは「ポリシーによるアカウント自動作成機能」+「ポリシーによる自動権限付与機能」を実装しています。

ユーザーの所属や属性に応じてポリシーを設定しておくことで、自動的にアカウント登録(権限付与)を実行できます。

■ポリシー設定例
・「正社員」なら「Microsoft365を利用可能」にする
・「営業部」なら「Salesforceを利用可能」にする など

特徴3⃣ 承認ワークフロー登録機能

人事システムで管理されていないユーザー

正社員は人事システムで管理されています。

しかし、「派遣社員」「アルバイト」「取引先担当者」など、人事システムで管理されていないユーザーが存在しているケースがあります。

Keyspiderの「承認ワークフロー登録機能」

「新規にアカウント登録したいユーザー」がいる場合、「承認ワークフローを利用したユーザー登録」が可能です。

■承認ワークフローの例
①総務担当者:申請
②部長:承認
③登録権限者:Keyspiderへのアカウント登録実施